Получение диплома без почета
Он мог вломиться в компьютерную систему государственного университета, найти записи того, кто получил диплом с оценками «хорошо» и «отлично», скопировать их, вписать свое имя и добавить в записи выпускников того года. Обдумывая эту идею, он понял, что существуют и другие записи и студентах, проживающих в кампусе, их платежах. И создавая записи лишь о прослушанных курсах и классах, можно сильно проколоться.
Составляя план дальше, он понял, что может достичь своей цели, посмотрев, нет ли выпускников с его фамилией, получивших степень компьютерных наук в соответствующий отрезок времени. Если так, можно лишь изменить личный социальный номер на рабочих формах; любая компания, проверяющая его имя и личный социальный номер, увидит, что он действительно владеет указанным званием (это не понятно большинству людей, но очевидно для него, что если он укажет один социальный номер на заявлении о приеме на работу и затем, если его наймут, укажет свой реальный. Большинство компаний никогда не проверяют, чей номер указал нанимающийся).
Включаясь к проблеме
Как найти Майкла Паркера в университетских записях? Он представлял себе это так: пойти в главную библиотеку в университетском кампусе, сесть за компьютерный терминал, выйти в интернет и получить доступ к сайту университета. Затем он позвонил в регистрационный офис. С ответившим человеком он провел стандартную для социального инженера беседу: «Я звоню из компьютерного центра, мы меняем конфигурацию сети и хотим убедиться, что не нарушили ваш доступ. К какому серверу вы подключаетесь?»
«Что значит сервер?» – спросили его.
«К какому компьютеру вы присоединяетесь, когда хотите получить академическую информацию о студентах?»
Ответ admin.rnu.edu дал ему имя компьютера, в котором хранились записи о студентах. Это был первый кусочек головоломки. Теперь он знал свою цель.
LINGO:
Dumb terminal ‑"немой терминал". терминал, который не содержит свой микропроцессор. Такие терминалы могут принимать лишь простые команды и отображать буквы и цифры
Он впечатал тот URL и не получил ответа – как и ожидалось, там стоял файрвол, блокирующий доступ. Он запустил программу, отображающую наличие сервисов, которые он мог запустить на удаленном компьютере и нашел открытый порт телнета, который позволял компьютеру удаленно присоединиться к другому компьютеру и получить к нему доступ, так как можно было использовать dumb terminal . Все, что ему нужно было знать, чтобы получить доступ‑это обычный логин пользователя и пароль.
Он еще раз позвонил в регистрационный офис, прислушиваясь внимательно, чтобы убедиться, что разговаривает с другим человеком. Ему ответила женщина, и он опять представился работником компьютерного центра. Он сказал, что они установили новый продукт для хранения административных записей и просит, чтобы она присоединилась к новой системе, которая все еще в стадии теста, чтобы проверить, правильно ли она работает. Он дал ей IP‑адрес и провел через весь процесс.
Фактически, IP –адрес принадлежал компьютеру Майкла в библиотеке кампуса. Используя вышеназванный в этой главе процесс, он создал симулятор программы – ловушки, чтобы узнать под каким логином и паролем она заходит в систему студенческих записей. «Не работает», – ответила она. «Выдается сообщение, что логин неверен».
К этому моменту, симулятор передал символы имени ее аккаунта и пароля на терминал Майкла; миссия выполнена. Он ответил ей, что некоторые аккаунты еще не перенесены на эту машину. Но сейчас он внесет ее аккаунт и перезвонит ей. Очень внимательный к сокрытию следов, как и всякий опытный социальный инженер, он мог уточнить, что перезвонит позже, чтобы сказать, что тестовая система плохо работает, но если все будет хорошо, то ей перезвонят.
Полезный секретарь
Теперь Майкл знал, к какой системе необходимо получить доступ, имел логин и пароль. Но какими командами ему надо пользоваться, чтобы найти файлы с необходимой информацией, верным именем и датой? Студенческая база данных явно отвечает специфическим требованиям регистрационного офиса и имеет особый путь доступа к информации.
Первым шагом в решении этой проблемы было найти человека, который провел бы его через все ужасы поиска студенческой базы данных. Он вновь позвонил в регистрационный офис, опять выйдя на другого человека. Сказав, что звонит из деканата факультета инжиниринга, он спросил у женщины, кто бы мог помочь ему, так как возникли некоторые проблемы с доступом к студенческим академическим записям.
Немного позже он уже разговаривал с администратором базы данных и успешно играл на его симпатиях.
"Меня зовут Марк Селлерс, из офиса регистрации. Вы чувствуете ко мне жалость, да? Извините за звонок, но дело в том, что все старшие на совещании и вокруг нет никого, кто бы мог помочь мне. Мне необходимо восстановить список выпускников со степенью бакалавра компьютерных наук в период между 1990 и 2000 годами. Он нужен им к концу дня, но у меня он отсутствует, а я так долго стремился получить эту работу. Не будете ли вы так добры помочь парню, попавшему в беду? "Помогать людям, попавшим в беду было тем, что обычно делал администратор базы данных, и он терпеливо объяснил Майклу каждый шаг.
К тому времени, как они закончили разговор, Майкл загрузил вводный лист выпускников с необходимым дипломом за те года. Через несколько минут он обнаружил двух Майклов Паркеров, выбрал одного из них и получил его личный социальный номер, как и другую информацию, хранящуюся в базе данных.
Он только что стал Майклом Паркером, получившим звание бакалавра компьютерных наук в 1998 году.
Анализ обмана
Атакующий использовал одну уловку, о которой я раньше не упоминал: Атакующий попросил администратора провести его через весь процесс шаг за шагом. Достаточно сильное и эффективное действо, аналогичное тому, как если бы вы попросили владельца магазина помочь вынести вам предметы, которые вы только что из него украли.
Сообщение от Митника
Пользователи компьютера даже не подозревают о наличии угроз и уязвимостей, связанных с социальным инжинирингом, который существует в нашем мире высоких технологий. Они имеют доступ к информации, не разбираясь в деталях работы, не осознавая важности некоторых мелочей. Социальный инженер выберет своей целью работника с низким уровнем владения компьютером.
Предупреждение обмана
Симпатия, вина и запугивание‑это три очень популярных психологических трюка, используемых социальным инженером, и вышеперечисленные истории продемонстрировали тактику действий. Но что можете сделать вы и ваша компания, чтобы избежать данных типов атак?
Защита информации
Некоторые истории в этой главе показывают опасность отправки файла кому‑то незнакомому, даже человеку, который представляется работником вашей компании, а файл отправляется по внутренней сети на е‑мэйл или факс.
Службе безопасности компании необходимо выстроить схему, обеспечивающую безопасность при пересылке важной информации какому‑то незнакомому лично отправителю. Особые процедуры должны быть разработаны для передачи файлов с важной информацией. Когда запрос поступает от незнакомого человека, должны быть предприняты шаги к подтверждению его личности. Также должны быть установлены различные уровни доступа к информации.
Вот некоторые способы, которые следует обдумать:
Установите, насколько необходимо спрашивающему это знать (что может потребовать получения одобрения со стороны владельца информации)
Храните логи всех транзакций
Утвердите список людей, которые специально обучены процедурам передачи информации и которым вы доверяете отправку важной информации. Требуйте, чтобы лишь эти люди имели право отсылать информацию за пределы рабочей группы.
Если запрос на информацию пришел в письменном виде (е‑мэйл, факс или почта), предпримите особые шаги, чтобы убедиться в верности указываемого источника.
О паролях
Все сотрудники, которые имеют доступ к важной информации, а в наше время это все, кто имеют доступ к компьютеру, должны понимать, что даже такая простая процедура, как смена пароля, может привести к серьезной бреши в безопасности системы.
Занятия по безопасности должны включать в себя тему паролей и быть сфокусированы на процессе смены пароля, установки приемлемого пароля и опасностях, связанных с участием посторонних в этом. Занятия должны научить сотрудников подозрительно относиться к любому запросу по поводу их пароля.
Заметка
Именно на паролях сосредоточены атаки социальных инженеров, которые мы рассмотрели в отдельной секции в главе 16, где вы также найдете особые рекомендации по данной теме.
Группа по отчетам
Ваша служба безопасности должна предоставить человека или группу, сформированную, как орган, в который поступали бы отчеты о подозрительной деятельности, направленной на атаку вашей организации. Все рабочие должны знать, куда обратиться в случае подозрения на электронное или физическое вторжение. Телефонный номер такого места всегда должен быть на виду, чтобы служащим не приходилось разгребать кучи бумаг в поисках его, во время попытки атаки.
Защитите вашу сеть
Служащие должны осознавать, что имя сервера или компьютера в сети это не пустяковая информация, а важная настолько, что может дать атакующему знание своей цели.
В частности, люди, такие как администраторы баз данных, которые работают с программным обеспечением, принадлежат к категории людей, которые располагают технической информацией, так что они должны работать в условиях жестких правил, устанавливающих личность человека, обратившегося к ним за советом или информацией.
Люди, которые регулярно предоставляют помощь в компьютерной сфере, должны отлично распознавать запросы, на которые нельзя ни в коем случае отвечать, понимая, что это может быть атакой социального инженера.
Намного хуже осознавать, что в вышеупомянутой ситуации, атакующий подпадал под критерий законности: он звонил из кампуса, находился на сайте, требующем знание логина и пароля. Это лишь подтверждает необходимость наличия стандартной процедуры идентификации любого, запрашивающего информацию, особенно в данном случае, когда звонящий просил помощи в доступе к конфиденциальной информации.
Все эти советы особенно важны для колледжей и университетов. Ни для кого не новость, что хакинг – любимое времяпровождение для многих студентов, и также не секрет, что очень часто факультетские записи бывают целью их атак. Угрозы взлома стали настолько серьезны, что многие компании считают кампусы неким источником зла и добавляют в файрвол правило, блокирующее доступ с компьютеров, имеющих адрес *.edu
Короче говоря, все студенческие и персональные записи любого характера должны рассматриваться как возможные цели для атак и быть хорошо защищены.
Тренировочные советы
Большинство атак такого плана очень просто отразить для человека, знающего, чего ожидать.
Для корпораций необходимо проведение фундаментальной подготовки к такого рода ситуациям, но существует также необходимость напоминать людям об их знаниях.
Используйте яркие заставки, которые будут появляться при включении компьютера и содержать новый совет по безопасности каждый раз. Сообщение должно быть сделано таким образом, чтобы оно не исчезало автоматически, но требовало от пользователя нажатия на совет, который он / она только что прочитали.
Другой подход, который я могу посоветовать – это начать серию напоминаний о безопасности. Частые сообщения с напоминаниями очень важны; информирующие программы не должны иметь конца, сообщения должны иметь каждый раз разное содержание. Занятия показали, что такие сообщения более эффективны, когда написаны по‑разному или используются различные примеры в них.
Еще один отличный способ – использовать короткие аннотации. Это не должна быть полная колонка, посвященная предмету. Лучше сделать пару‑тройку маленьких колонок, как маленький экран в вашей собственной газете. В каждом случае такого письма представляйте очередное напоминание в коротком, хорошо запоминающемся виде.
Глава 9: Ответный удар
(Chapter 9 The Reverse Sting)
//Глава еще редактируется
Перевод: Vedmak ([email protected])
The String , упомянутый где‑либо в этой книге (и, по моему мнению, самый лучший фильм, когда‑либо снятый о мошенничестве), изображает ловкую задумку в массе обворожительных деталей. Операция, описанная в фильме – удачный пример того, как лучшие мошенники проделывают «the wire,» один из трех видов обманов, которых называют «большими мошенничествами». Если вы хотите знать, как команда профессионалов проделывает аферу, загребая большое количество денег за один вечер, что лучшего учебника не найти.
Но обычные мошенники, со всеми их специфическими уловками, в целом действуют по определенной схеме. Иногда уловка работает в обратном направлении, что и называется «обратный обман». Трюк в том, что злоумышленник организует ситуацию так, что жертва просит его о помощи, либо злоумышленник отвечает на просьбу коллеги. Как это работает? Сейчас Вы это узнаете.
LINGO
ОБратный обман Мошенничество, в котором жертвы сама просит мошенника о помощи.